JSP操作数据问题

fgcsh 2002-04-02 09:28:17
怎么防止用户通过IE地址栏上输入类似:www.safsdf.com/delete.jsp?id=20而删除第20条记录,虽然我在DELETE.JSP中加入了SESSION,但这只能对没有登入系统的人有用,而假如我在index.jsp中已经有相同的SESSION,这样用户就可以通过地栏任意删除符合ID的记录了
怎么解决这个问题???????
...全文
3 点赞 收藏 10
写回复
10 条回复
切换为时间正序
请发表友善的回复…
发表回复
phpbird 2002-04-05
运行sql前,验证身份。。。
回复
fgcsh 2002-04-05
假如在同一个表中某些记录不属于当前用户的,但他还是可以通过ID来删除这条记录呀
回复
zjp009 2002-04-05
用SESSION变量保存用户权限, 就可以判断了。
回复
huyuefox 2002-04-05
既然设立del.jsp,用户就应该有删除的权限,况且他删的是自己的信息(通过session),他本来就拥有这个权力.
回复
fgcsh 2002-04-05
假如我在某一页(不是del.jsp)已经存在session.setAttribute("user")呢?
是不是我每个表都要设一个"USER"字段呢?

回复
zhu_liping 2002-04-05
得判断用户是否有权限删
回复
Iong 2002-04-05
我也是使用用户登录的id session
sql 这样写:"delete from my_table where id=" + request.getParameter("id") + " and user=" + session.getAttribute("user")
回复
fgcsh 2002-04-05
怎么绑呀?
回复
huyuefox 2002-04-02
多加一个参数绑在session里,删除时检验两个参数userid,及第二个参数
回复
skyyoung 2002-04-02
要在SESSION里设置一个值,有这个值才能DELETE。
没有其它办法。

---------------
shmilu@sian.com
回复
发动态
发帖子
Web 开发
创建于2007-09-28

7.9w+

社区成员

Java Web 开发
申请成为版主
社区公告
暂无公告